Ausgangssituation:
Das SEPPmail Secure E-Mail Gateway soll auch OpenPGP als Signatur- und Verschlüsselungsverfahren nutzen. Dabei fällt auf, dass öffentliche OpenPGP Schlüssel - im Gegensatz zu S/MIME Zertifikaten - vom SEPPmail Secure E-Mail Gateway nicht automatisch aus signierten E-Mails eingesammelt werden.
Frage:
Weshalb werden OpenPGP Schlüssel nicht automatisch eingesammelt, beziehungsweise was ist zu konfigurieren, um dies zu realisieren?
Antwort:
Aufgrund der unterschiedlichen Vertrauensmodelle bei den Technologien S/MIME und OpenPGP ist das automatische Einsammeln nur bei S/MIME Zertifikaten sinnvoll, beziehungsweise möglich.
Erklärung:
Ein S/MIME-Zertifikat beinhaltet den von einer Certification Authorithy (CA) beglaubigten öffentlichen Schlüssel und bestätigt somit die eindeutige Zugehörigkeit des beinhalteten öffentlichen Schlüssels zum Inhaber, sowie dessen Identität.
Somit ist
•das Zertifikat mit einem Pass
•die CA als beglaubigende Stelle mit dem Passamt, welches die Echtheit des Passes bestätigt
vergleichbar.
OpenPGP basiert hingegen auf einem anarchistischen Vertrauensmodell (Web of Trust). Das Vertrauen wird dabei durch Vertrauensketten hergestellt, also “Ich vertraue jemanden, dem jemand vertraut, dem ich vertraue“.
Um also einem OpenPGP das Vertrauen aussprechen zu können, ist ein «manuelles» Verifizieren über einen zweiten, unabhängigen Kanal (in der Regel Telefon, SMS) durch Vergleich der Hash-Werte erforderlich.
Alternativen:
Das SEPPmail Secure E-Mail Gateway bietet folgende Möglichkeiten für den OpenPGP Schlüsselimport:
1.Durch den externen Kommunikationspartner über die GINA-Oberfläche (siehe auch Extended settings Certificate search and management in GINA)
Da über eine GINA-Anmeldung eine Person eindeutig identifiziert wird, ist das von ihr hochgeladene Schlüsselmaterial in jedem Fall vertrauenswürdig.
2.Durch den SEPPmail Secure E-Mail Gateway Administrator (siehe auch )
Dieser ist dafür verantwortlich, eindeutige Herkunft des Schlüsselmaterials zu prüfen.
3.Automatisiert über Key Server Abfragen (siehe auch Mail Processing Ruleset generator Key server Type OpenPGP)
